Flame - очередное кибероружие

[RuJN 21]

Пиар ход, чтобы заставить пользователей всех читать, возможно

[Vsevolod 25]

Пиар ход, чтобы заставить пользователей всех читать, возможно

Или одна из сторон что-то недоучла, или Россию специально выделили, хотя не так, как Венгрию. Ну и в перечислении разница.

[RuJN 21]

Или одна из сторон что-то недоучла, или Россию специально выделили, хотя не так, как Венгрию. Ну и в перечислении разница.

сравните, скажем, 5 случаев детектов в масштабах России и в масштабах той же Венгрии. По сути их графика это одно и то же

[Vsevolod 25]

сравните, скажем, 5 случаев детектов в масштабах России и в масштабах той же Венгрии. По сути их графика это одно и то же

Ну, каждая из исследующих компаний в таких случаях считает и уверена, что их данные по синкхолам отражают реальную картину.

Ряд других стран у Симантек не выделен.

У Касперских столько заражений в Венгрии нет, чтобы это так подчеркивать.

[RuJN 21]

Пандовцы еще 30.05.2012 написали у себя пост. Читать конечно нечего, но так, до кучи уж

http://pandalabs.pandasecurity.com/flame-n...espionage-tool/

Слаабенькая попыточка что-то опровергнуть (Панда - по-русски один из немногих антивирусов женского пола )

[Danilka 678]

такое бывает с некоторыми компаниями

Если мне не изменяет память, у Стакснета (вроде) у них тоже больше всего в Венгрии. Кризис у нас оттуда? Видимо их компы шлют инфу

Может завтра, может в понедельник

Ну ок. Правда до понедельника дожить надо.

[Kapral 311]

Правда до понедельника дожить надо.

Понедельник начинается в субботу © Стругацкие

[Z.E.A. 190]

Понедельник начинается в субботу © Стругацкие

... а июль начнётся в августе.

[rkhunter 150]

Catched!

MD5: 7d49d4a9d7f0954a970d02e5e1d85b6b

SHA1: e6c671bc74d638cc2aa5cce656d8e1461dc7bb79

File size: 458869 bytes

Name: browse32.ocx

PE Exports....................:

EnableBrowser, StartBrowse

[A. 876]

Он не большой, но прикольный, да

ну вот, журналист нашел. а "рисерчеры" нет

http://www.zdnet.com.au/flame-lights-its-o...m?tag=mncol;txt

From here, infected machines received a new module from the remaining command and control servers — browse32.ocx — which has the purpose of covering Flame's tracks. It not only has a hit-list of all Flame-related files and folders to delete, but it subsequently rewrites random characters on the disk to ensure that the old data can't be retrieved.

There is one exception to the firing squad, and that is a temporary file: ~DEB93D.tmp. According to CrySyS' research (PDF), it is an encrypted file that contains a SQLite database of NetBIOS name look-ups. In theory, it would provide forensic teams with the ability to determine the names of all the computers it was able to see and possibly infect.

Вот именно поэтому мы и писали

http://www.securelist.com/en/blog/20819353...and_BeetleJuice

As a consequence, we can provide a method for a quick ”manual” check of your systems for presence of a Flame infection:

1. Perform a search for the file ~DEB93D.tmp. Its presence on a system means that it either is or has been infected by Flame.

[rkhunter 150]

ну вот, журналист нашел.

Едва ли

[A. 876]

Catched!

MD5: 7d49d4a9d7f0954a970d02e5e1d85b6b

SHA1: e6c671bc74d638cc2aa5cce656d8e1461dc7bb79

File size: 458869 bytes

Name: browse32.ocx

Как я показал выше - чтобы найти этот "баг" - файл даже не нужен

Достаточно просто уметь читать и сравнивать тексты.

[rkhunter 150]

Как я показал выше - чтобы найти этот "баг" - файл даже не нужен

Достаточно просто уметь читать и сравнивать тексты.

Хе-х, журналисты на то и нужны...

[rkhunter 150]

Кстати объявилось еще одно "недостающее звено" - msglu32.ocx.

[A. 876]

Кстати объявилось еще одно "недостающее звено" - msglu32.ocx.

Что значит недостающее звено и почему ?

Этот файл всю жизнь был внутри ресурса 146 из основного mssecmgr и ставится в систему моментально. Так же как и прочая пачка файлов.

Или за полторы недели толпы "рисерчеров" так даже и не сподобились разобрать 146 ресурс ? Или даже сам mssec запустить не осилили ??

P.S. Даю подсказку тогда уж, чего там еще можно найти ))

[rkhunter 150]

Что значит недостающее звено и почему ?

Смотрели, смотрели и по этому же 146-му дропперы "идентифицировали", что-то я совсем в этих именах/хэшах запутался.

Еще скрин делал своей зараженной тачки, а файл тогда не сохранил в спешке.

[rkhunter 150]

А не-не, все верно, просто их две версии как минимум этого msglu32.ocx, а у меня все по хэщам, они и не совпали. Скорее всего от другого дроппера второй.

SHA1: d53b39fb50841ff163f6e9cfd8b52c2e

SHA1: 2512321f27a05344867f381f632277d8

[_Stout 131]

CWI cryptanalist discovers new cryptographic attack variant in Flame spy malware http://www.cwi.nl/news/2012/cwi-cryptanali...ame-spy-malware

[sww 486]

CWI cryptanalist discovers new cryptographic attack variant in Flame spy malware http://www.cwi.nl/news/2012/cwi-cryptanali...ame-spy-malware

АдЪ...

Подозреваю, что подобных поверхностных до***бов станет поменьше:

[A. 876]

АдЪ...

Подозреваю, что подобных поверхностных до***бов станет поменьше:

Да, многим клоунам, которые на прошлой неделе развяли языки - пришлось на этой неделе завязать их себе обратно.

Былинные отказы конечно случились с "экспертами" Тренда

http://www.anti-malware.ru/blog/3035/9273

и Вебрута

https://www.pcworld.com/businesscenter/arti...media_hype.html

"In terms of sophistication we believe it is nowhere near Zeus, Spyeye or TDL4 for example. Essentially Flame at its heart is an over-engineered threat that doesn’t have a lot of new elements to it--essentially a 2007 era technology."

Надеюсь стена их выдержала.

P.S. И это еще не конец

[rkhunter 150]

И все равно как малварь он очень хорошо и быстро удаляется, выносится из ветки реестра через regedit и больше не восстанавливает свой айтем.

Из так скажем "руткит"-технологий - это патчинг shell32.dll (Xuetr показыват 7 байт) в памяти и добавление фейковых айтемов в PEB, чтобы скрыть активность unknown start address thread.

Инжектируется в winlogon, services, explorer.

[rkhunter 150]

Bit9 - https://www.bit9.com/files/Threat_Advisor_Flame_FINAL.pdf

[strat 275]

Хотелось бы услышать прогноз развития кибер оружия в свете возможностей этих трех обнаруженных duqu stuxnet flame.

Насколько часто будут обнаруживаться - прогноз возрастания применения.

Какие технические возможности будут возможно применены в свете приложенных ресурсов целого государства - например взлом шифров

Какие последствия применения - локальные войны, экономические санкции, изменение законов

Какие меры противостояния должны появиться в связи с таким высокоточным целевым оружием.

Короче - что нас ждет.

п.с. интервью Е.К. читал

[A. 876]

Bit9 - https://www.bit9.com/files/Threat_Advisor_Flame_FINAL.pdf

еще одни клоуны

Yes, and it did – Bit9 stopped the Flame attack in our customer base. The attempted penetration began as far back as October of last year and continued until last month, and each time Bit9 tracked the behavior and prevented its execution, long before anyone even heard of “Flame.”

ололо

[rkhunter 150]

Меня больше пугает/забавляет вот это их заявление.

“None of the 43 tested antiviruses could detect any

of the malicious components.”

Iran National CERT (MAHER) 5-28-2012